Общие сведения о шифровании в Azure

Управление удостоверениями — это процесс проверки подлинности и авторизации субъектов безопасности. Он также включает в себя управление сведения об этих субъектах (удостоверениях). В число субъектов безопасности (удостоверений) могут входить службы, приложения, пользователи, группы и т. д. Решения по управлению удостоверениями и доступом корпорации Майкрософт позволяют ИТ-отделам защитить доступ к приложениям и ресурсам в корпоративном центре обработки данных и в облаке. Такая защита обеспечивает дополнительные уровни проверки, такие как многофакторная проверка подлинности и политики условного доступа. Наблюдение за подозрительной активностью с использованием расширенных отчетов, аудита и предупреждений помогает смягчить потенциальные риски безопасности. Идентификатор Microsoft Entra ID P1 или P2 предоставляет единый вход для тысяч приложений облачного программного обеспечения как службы (SaaS) и доступа к веб-приложениям, которые выполняются локально.

Используя преимущества безопасности идентификатора Microsoft Entra, вы можете:

• Создание единого удостоверения для каждого пользователя в пределах гибридной системы, управление этими удостоверениями, а также синхронизация пользователей, групп и устройств.
• Предоставление единого входа в приложения, включая тысячи предварительно интегрированных приложений SaaS.
• Включите безопасность доступа к приложениям, применяя многофакторную проверку подлинности на основе правил для локальных и облачных приложений.
• Подготовка безопасного удаленного доступа к локальным веб-приложениям через прокси приложения Microsoft Entra.

В статье содержатся общие сведения о базовых функциях безопасности Azure, которые помогут в управлении удостоверениями. Здесь также приводятся ссылки на статьи с дополнительными сведениями о каждой функции.

В статье уделяется внимание следующим базовым возможностям управления идентификацией в Azure.

• Единый вход
• Обратный прокси-сервер
• Многофакторная проверка подлинности
• Управление доступом на основе ролей в Azure (Azure RBAC)
• Наблюдение за безопасностью, оповещения и отчеты на основе машинного обучения.
• Управление удостоверениями и доступом клиентов
• Регистрация устройства
• Управление привилегированными пользователями
• Защита идентификации
• Управление гибридными удостоверениями и Azure AD Connect
• Проверки доступа Microsoft Entra

Единый вход

Благодаря функции единого входа пользователи получают доступ ко всем приложениям и ресурсам, необходимым для работы. Для этого нужно только выполнить однократный вход с использованием одной учетной записи. После входа пользователю доступны все необходимые приложения без повторной проверки подлинности (например, ввода пароля).

Во многих организациях для эффективной работы пользователей применяются такие приложения SaaS, как Microsoft 365, Box и Salesforce. Обычно ИТ-специалистам приходилось отдельно создавать и обновлять учетные записи пользователей в каждом приложении SaaS, а пользователям нужно было запоминать новые пароли для каждого такого приложения.

Идентификатор Microsoft Entra расширяет локальная служба Active Directory средах в облаке, позволяя пользователям использовать свою основную учетную запись организации для входа не только на устройства, присоединенные к домену, и корпоративные ресурсы, но и для всех веб-приложений и приложений SaaS, необходимых для их заданий.

Теперь пользователям не нужно управлять несколькими наборами учетных данных, состоящих из имени и пароля. Вы можете предоставлять или отменять доступ к приложениям автоматически на основе членства в группах организации и статуса конкретного сотрудника. Идентификатор Microsoft Entra представляет элементы управления безопасностью и доступом, с помощью которых можно централизованно управлять доступом пользователей в приложениях SaaS.

Подробнее:

• Общие сведения о едином входе
• Видео об основах проверки подлинности
• Серия кратких руководств по управлению приложениями

Обратный прокси-сервер

Прокси приложения Microsoft Entra позволяет публиковать приложения в частной сети, такие как сайты SharePoint , Outlook Web App и приложения на основе IIS в частной сети и обеспечивает безопасный доступ к пользователям за пределами вашей сети. Прокси приложения предоставляет удаленный доступ и единый вход для многих типов локальных веб-приложений с тысячами приложений SaaS, поддерживаемых идентификатором Microsoft Entra. Сотрудники могут войти в приложения дома на собственных устройствах и пройти проверку подлинности через этот облачный прокси-сервер.

Подробнее:

• Включение прокси приложения Microsoft Entra
• Публикация приложений с помощью прокси приложения Microsoft Entra
• Единый вход с помощью прокси приложения
• Работа с условным доступом

Многофакторная проверка подлинности

Многофакторная проверка подлинности Microsoft Entra — это метод проверки подлинности, который требует использования нескольких методов проверки и добавляет критически важный второй уровень безопасности для входа пользователей и транзакций. Многофакторная проверка подлинности помогает защитить доступ к данным и приложениям во время удовлетворения требований пользователей к простому процессу входа. Она обеспечивает строгую проверку подлинности разными способами: с помощью телефонных звонков, текстовых сообщений, уведомлений в мобильном приложении, кодов подтверждения или маркеров OAuth сторонних поставщиков.

Дополнительные сведения: как работает многофакторная проверка подлинности Microsoft Entra

Azure RBAC

Azure RBAC — это система авторизации на основе Azure Resource Manager, которая обеспечивает точное управление доступом к ресурсам в Azure. Она позволяет детально управлять уровнем доступа пользователей. Например, одному пользователю можно разрешить управлять только виртуальными сетями, а другому — управлять всеми ресурсами в группе ресурсов. В Azure есть несколько встроенных ролей. Ниже перечислены четыре основные встроенные роли. Первые три роли охватывают все типы ресурсов.

• Владелец — имеет полный доступ ко всем ресурсам, включая право делегировать доступ другим пользователям.
• Участник — может создавать все типы ресурсов Azure и управлять ими, но не может предоставлять доступ другим пользователям.
• Читатель — может просматривать существующие ресурсы Azure.
• Администратор доступа пользователей — может управлять доступом пользователей к ресурсам Azure.

Подробнее:

• Что такое управление доступом на основе ролей в Azure (RBAC)?
• Встроенные роли Azure

Наблюдение за безопасностью, оповещения и отчеты на основе машинного обучения.

Мониторинг безопасности, оповещения, а также отчеты на базе машинного обучения, которые позволяют определить несогласованные схемы доступа, помогают защитить бизнес-процессы. Вы можете использовать отчеты о доступе и использовании идентификаторов Microsoft Entra, чтобы получить представление о целостности и безопасности каталога вашей организации. C помощью этой информации администратор каталога может более точно определить источники возможных угроз безопасности, что позволяет правильно спланировать их устранение.

На портале Microsoft Azure отчеты делятся на следующие категории:

• Отчеты об аномалиях: содержат информацию об аномальных событиях входа. Наша цель — уведомлять вас о таких событиях, чтобы вы могли определить, является ли то или иное событие подозрительным.
• Отчеты о встроенных приложениях: предоставляют подробную информацию об использовании облачных приложений в вашей организации. Идентификатор Microsoft Entra предлагает интеграцию с тысячами облачных приложений.
• Отчеты об ошибках: указывают на ошибки, которые могли возникнуть при подготовке учетных записей для внешних приложений.
• Пользовательские отчеты — это отчеты, которые предоставляют данные об использовании устройства или случаях входа для конкретного пользователя.
• Журналы действий: содержат записи обо всех событиях аудита за последние 24 часа, 7 дней или 30 дней, а также записи об изменениях в составе групп, событиях сброса пароля и регистрации.

Дополнительные сведения: руководство по отчетам об идентификаторах Microsoft Entra

Управление удостоверениями и доступом клиентов

Active Directory B2C – глобальная высокодоступная служба управления удостоверениями для клиентских приложений, которая обеспечивает масштабируемость до сотен миллионов удостоверений. Служба интегрируется с мобильными и веб-платформами. Клиенты могут входить в ваши приложения через настраиваемый интерфейс, используя существующие учетные записи социальных сетей или создавая новые.

Раньше разработчикам приложений, которым было необходимо регистрировать потребителей и выполнять их вход в своих приложениях, приходилось записывать собственный код. Кроме того, для хранения имен пользователей и паролей приходилось использовать локальные базы данных или системы. Azure Active Directory B2C помогает организациям оптимизировать интеграцию управления удостоверениями со своими приложениями с помощью безопасной платформы, основанной на стандартах, и широкого набора расширяемых политик.

Azure Active Directory B2C позволяет клиентам регистрироваться в приложениях с использованием существующих учетных записей в социальных сетях (Facebook, Google, Amazon, LinkedIn). Кроме того, пользователи могут создавать новые учетные данные (электронный адрес и пароль или имя пользователя и пароль).

Подробнее:

• Что такое Azure Active Directory B2C?
• Azure Active Directory B2C: типы приложений

Регистрация устройства

Регистрация устройств Microsoft Entra является основой для сценариев условного доступа на основе устройств. При регистрации устройства регистрация устройства Microsoft Entra предоставляет устройству удостоверение, которое используется для проверки подлинности устройства при входе пользователя. Прошедшее проверку подлинности устройство и его атрибуты затем можно использовать для принудительного применения политик условного доступа в приложениях, размещенных в облаке и в локальной среде.

При сочетании с решением для управления мобильными устройствами, например Intune, атрибуты устройства в идентификаторе Microsoft Entra обновляются с дополнительными сведениями об устройстве. Вы можете создавать правила условного доступа, которые обеспечивают доступ с устройств в соответствии с вашими стандартами безопасности и соблюдения нормативных требований.

Подробнее:

• Начало работы с регистрацией устройства Microsoft Entra
• Автоматическая регистрация устройств с помощью идентификатора Microsoft Entra для устройств, присоединенных к домену Windows

Управление привилегированными пользователями

С помощью Microsoft Entra управление привилегированными пользователями вы можете управлять, контролировать и отслеживать привилегированные удостоверения и доступ к ресурсам в идентификаторе Microsoft Entra, а также другие веб-службы Майкрософт, такие как Microsoft 365 и Microsoft Intune.

Пользователям иногда требуется выполнять привилегированные операции с ресурсами в Azure или Microsoft 365 либо в других приложениях SaaS. Это часто означает, что организации должны предоставлять пользователям постоянный привилегированный доступ в идентификаторе Microsoft Entra. Такой доступ является возрастающей угрозой безопасности ресурсов, размещенных в облаке, поскольку организация не может эффективно отслеживать действия пользователей с привилегиями администраторов. Кроме того, скомпрометированная учетная запись с привилегированным доступом могла повлиять на общую безопасность облака в организации. Microsoft Entra управление привилегированными пользователями помогает устранить этот риск.

С помощью управление привилегированными пользователями Microsoft Entra вы можете:

• Узнайте, какие пользователи являются администраторами Microsoft Entra.
• Включать по требованию административный JIT-доступ к службам Майкрософт, например Microsoft 365 и Intune.
• Получать отчеты по данным журнала доступа администраторов и изменениям в назначениях администраторов.
• Получать оповещения о доступе к привилегированным ролям.

Подробнее:

• Что такое управление привилегированными пользователями Microsoft Entra?
• Назначение ролей каталога Microsoft Entra в PIM

Защита идентификации

Защита идентификации Microsoft Entra — это служба безопасности, которая предоставляет консолидированное представление об обнаружении рисков и потенциальных уязвимостях, влияющих на удостоверения вашей организации. Защита идентификации использует существующие возможности обнаружения аномалий Microsoft Entra, доступные через отчеты о действиях Microsoft Entra Anomalous. Защита идентификации также вводит новые типы обнаружения риска, которые могут обнаруживать аномалии в реальном времени.

Дополнительные сведения: Защита идентификации Microsoft Entra

Гибридное управление удостоверениями (Microsoft Entra Подключение)

Решения для идентификации Майкрософт обладают локальными и облачными возможностями, создавая единое удостоверение пользователя для проверки подлинности и авторизации для всех ресурсов, независимо от их расположения. Это называется гибридной идентификацией. Microsoft Entra Подключение — это средство Майкрософт, предназначенное для удовлетворения и достижения целей гибридной идентификации. Это позволяет предоставить общее удостоверение для пользователей для приложений Microsoft 365, Azure и SaaS, интегрированных с идентификатором Microsoft Entra. Она предоставляет следующие возможности.

• Синхронизация
• AD FS и интеграция федерации
• Сквозная проверка подлинности
• Мониторинг работоспособности

Подробнее:

• Hybrid identity white paper
• Microsoft Entra ID

Проверки доступа Microsoft Entra

Проверки доступа Microsoft Entra позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям привилегированных ролей.

Дополнительные сведения: проверки доступа Microsoft Entra